Cât de greu este să păstrezi un secret

Factorul uman este considerat cea mai importantă vulnerabilitate din triada om – proces – tehnologie, care constituie sistemul de protejare a confidențialității datelor sensibile. Studiile arată că 90% dintre organizații se confruntă lunar cu cel puțin o amenințare de securitate cauzată de componenta umană a acestui sistem. Statistica amintită este susținută de cazuri răsunătoare, în care au fost implicați uneori chiar cei care ar fi trebuit să cunoască foarte bine domeniul.

Păstrarea secretului, opțională

David Petraeus, fost director al CIA, a pledat vinovat în 2015 cu privire la acuzații de sustragere și păstrare în condiții ilegale a unor informații clasificate. A fost condamnat la doi ani cu suspendare și perioadă de probă pentru lipsă de discernământ. Generalul cu patru stele, fost comandant al Forței Internaționale de Asistență pentru Securitate în Afganistan, a recunoscut că a înmânat biografei sale, Paula Broadwell, cu care avea o relație sentimentală, 8 bibliorafturi conținând informații clasificate referitoare la scenarii de război, resurse informaționale și agenți sub acoperire. Reprezentanții FBI au recuperat bibliorafturile din sertarul unui birou aflat în locuința generalului, în condiții incompatibile cu normele de securitate care reglementează stocarea unor astfel de date.

Un alt fost director al CIA, din mai 1995 până în decembrie 1996, John Deutch a intrat în atenția Departamentului de Justiție, după demisia sa, în urma descoperirii unor informații clasificate pe computerul personal. Ancheta CIA a relevat că acesta a procesat sute de pagini de informații clasificate cu ajutorul unui computer pe care atât el, cât și alți membrii ai familiei, obișnuiau să îl conecteze la internet, expunându-l astfel potențialelor atacuri ale unor hackeri. Salvarea lui Deutch a venit de la președintele Clinton, cel care îl convinsese să accepte funcția de director al CIA și care a dispus renunțarea la urmărirea penală.

Sandy Berger, consilierul pe probleme de securitate națională al lui Bill Clinton, a pledat vinovat în 2005 pentru sustragerea de documente clasificate din Arhivele Naționale și distrugerea lor în biroul său. Pentru a-și pregăti depoziția în fața Comisiei Congresului care ancheta atentatele de la 11 septembrie 2001, Berger a primit acces la documente referitoare la amenințările teroriste la adresa SUA de la sfârșitul anilor `90. În urma acțiunilor sale, fostul oficial a fost sancționat cu o amendă de 50.000 de dolari.

Brian Nishimura, inginer al armatei SUA și rezervist al Marinei, a fost cercetat pentru stocarea de informații clasificate pe dispozitive electronice personale. Acesta a recunoscut fapta, iar avocatul său a argumentat că Nishimura urmărit exclusiv acumularea de date, fără un alt interes personal. Investigatorii au găsit în casa acestuia materiale clasificate în formă fizică și digitală, iar acuzatul a recunoscut că a distrus o parte din ele. Nishimura a pledat vinovat, în iulie 2015 și a primit o pedeapsă de doi ani cu suspendare, precum și o amendă de 7.500 de dolari. În același timp, i-a fost retras accesul la informații clasificate, fiindu-i interzis să îl mai solicite vreodată.

Exemplele de mai sus sunt elocvente pentru atitudinea unor înalți responsabili față de reglementările privind protecția datelor, chiar dacă acțiunile lor nu au urmărit diseminarea intenționată de informații și prejudicierea organizațiilor din care aceștia făceau parte.

Protejarea informației

O organizație trebuie întotdeauna să își protejeze valorile care îi asigură existența, iar între acestea informația joacă un rol central. Securitatea informației permite atât protejarea produselor, personalului, resurselor financiare, echipamentelor sau spațiilor de lucru, cât și a reputației câștigate.

Astfel, asigurarea unui mediu de securitate eficient și stabil implică politici și proceduri bine definite. Dacă reperul fundamental al securității informațiilor este omul, în calitatea sa de producător, utilizator și protector al acestora, elaborarea și implementarea soluțiilor de securitate trebuie să ia în considerare natura și diversitatea acestuia. Eficiența politicilor de securitate este influențată de manageri, dezvoltatori, programatori, dar și de angajații responsabili de implementarea lor.

Implementarea politicii de securitate începe odată cu selectarea personalului în funcție de cerințele stabilite prin fișa postului. Fișele de post trebuie să precizeze care sunt problemele de securitate relevante, dacă postul implică gestionarea de materiale sensibile, dar și nivelul de acces la informații clasificate.

Mecanisme de siguranță

Separarea sarcinilor, stabilirea competențelor și rotația personalului reprezintă componente indispensabile ale politicii de securitate. Astfel, sarcinile sensibile, importante sau critice trebuie împărțite mai multor angajați, cărora le este, implicit, ridicat nivelul de acces la informații clasificate. Atribuirea tuturor sarcinilor care presupun un nivel înalt de acces la informații sensibile unei singure persoane poate pune în pericol un mecanism de securitate vital. Există riscul apariției unor complicități, în urma cărora un alt angajat poate fi atras în activități dăunătoare intereselor organizației, fără ca acestea să poată fi descoperite.

În funcție de competențele stabilite, angajații pot accesa diferite resurse materiale, informatice sau alte servicii, pentru îndeplinirea atribuțiilor de serviciu. Nivelul de acces la rețelele securizate trebuie să corespundă sarcinilor care sunt încredințate fiecărui angajat. Securitatea organizațională este direct proporțională cu nivelul de acces care este permis fiecărui angajat, corelat competențelor fiecăruia.

Rotația personalului permite angajaților să cunoască toate activitățile și mecanismele care permit buna funcționare a organizației. Pregătirea personalului pentru îndeplinirea unor sarcini variate contribuie la asigurarea securității, reduce riscul de fraudă, furt, sabotaj sau utilizare neconformă a informațiilor. O persoană care ocupă mult timp aceeași funcție va primi, treptat, mai multe sarcini și, implicit, un nivel mai ridicat de acces la informații sensibile. În această situație există riscul apariției unei atitudini mai flexibile față de măsurile de protejare a informației. În același timp, poate apărea și tentația folosirii drepturilor primite pentru îndeplinirea atribuțiilor de serviciu în interes personal. Rotirea personalului permite identificarea unor astfel de situații.

Monitorizarea constantă a nivelului de acces la informații sensibile și revizuirea acestuia în momentul rotirii personalului elimină vulnerabilitatea acumulării excesive de drepturi de către angajații care nu mai au nevoie de ele pentru îndeplinirea atribuțiilor de serviciu. Separarea sarcinilor, stabilirea competențelor și rotirea personalului permit identificarea și reducerea semnificativă a riscului asocierii în scopul prejudicierii organizației.

Validarea responsabilă a candidaților

Evaluarea persoanei care urmează a fi angajată trebuie să țină cont de sensibilitatea și nivelul de clasificare al informațiilor la care îi va fi acordat accesul, potrivit prevederilor fișei postului. Cu cât informațiile sunt mai sensibile și nivelul de clasificare mai ridicat, cu atât evaluarea unui candidat trebuie să fie mai temeinică, întrucât încălcarea, deliberată sau nu, a regulilor de securitate într-un astfel de caz poate prejudicia grav organizația.

În ciuda procesului exhaustiv de validare a unui candidat, integritatea informațiilor gestionate de o organizație depinde de calitatea evaluării și de disponibilitatea viitorului angajat de a aplica riguros politicile de securitate.

Cazul lui Jonathan Jay Pollard este ilustrativ, în acest sens. Rezultatul testării preliminare cu aparatul poligraf a indicat necesitatea unui tratament medical, în niciun caz compatibilitatea cu ocuparea unei funcții care implica accesul la date cu nivel ridicat de secretizare. Cu toate acestea, a fost angajat la Centrul de Sprijin al Spionajului Marinei din Maryland, și apoi la Centrul de Alertă Antiteroristă al Marinei. Funcțiile deținute i-au oferit acces la informații strict secrete. Pollard a sustras și copiat peste 1 milion de pagini de materiale secrete pe care le-a oferit unui stat străin. El a fost plasat sub supraveghere și ulterior arestat, după ce un coleg a observat că Pollard pleca de la serviciu cu plicuri pe care era inscripționat un nivel de clasificare.

În acest caz, aplicarea măsurilor impuse de vulnerabilitățile identificate la angajare ar fi condus la evitarea diseminării neautorizate de date clasificate. Măsurile care vizează asigurarea protecției datelor față de vulnerabilitățile umane sunt numeroase, fiind aplicate începând cu selectarea candidaților și continuând cu verificarea, confirmarea accesului la informații sensibile, monitorizarea periodică a respectării regulilor de securitate, instruirea și limitarea accesului, dacă este cazul. Toate aceste măsuri sunt aplicate de oameni, iar eficiența lor depinde, în final, de modul în care sunt percepute, integrate și aplicate de către personalul care își desfășoară activitatea în organizație.

Abstract

Humans are the weakest element of any security solution. Despite the physical or logical types of control that may be deployed, humans will always find ways to (un)intentionally avoid or disable them. Thus, it is important to consider the profile of your users when designing and deploying security solutions for your environment. To understand and apply security governance, you must address the weakest link in your security chain, namely people.

Autor: Răzvan Cristache

1 comment

Lasă un răspuns

Adresa ta de email nu va fi publicată. Câmpurile necesare sunt marcate *

*
*